インターネットと情報端末とセキュリティ意識。俺は色々ダダ漏れだ。 〜ベッキーと『ゲスの極み乙女』の件を見て〜

ベッキーと『ゲスの極み乙女』の件でLINEのセキュリティリスクについて様々な憶測が飛び交っている。

 

www.madoka-saotome.xyz

 

今回は、これまでの記事とは別の視点で、その発端となったLINEのチャット画面の流出に着目し、インターネット社会での個人情報流出のリスクや、日々我々が持つサイバーセキュリティの意識について、このエントリーを通して考えていきたい。

 

この件では、単純な端末移行の脆弱性をついた第三の端末からのLINEで行われている通信(チャット)の覗き見の手法が使われていたようだ。先週からネット上で話題になっていたのが記憶に新しい。通称クローンiPhoneと呼ばれる手法で、おそらくこの方法を使って第三者が二人の会話の内容を傍受していたのだろうと見立てられている。

 

buzz-plus.com

  

こんな簡単に、個人の端末にアクセスしPCでバックアップを行いコピーを行うことができるのは間違いなく彼の側近の犯行に違いないと言われているが、普段の生活の中で我々は、どれほど個人情報やセキュリティについて考えて生活しているだろうか。

 

例えば、電車の中でLINEが来た時iPhoneのロックを指紋認証ではなくパスコードを入力して解除している人をたくさん見かける。その度に僕はその人の押したパスワードを記憶する。基本的に数字のみの人が大半で、複雑な英数字版のパスワードを利用してない。そのため4桁や6桁の数字など即座に暗記してしまうことができる。

 

例えば、Twitterで何かを電車の中でつぶやこうとしている人がいる。つぶやいた内容さえ見ることができれば、即座にTwitterで検索して、鍵アカウントではない限りその人のアカウントを発見できてしまう。その人がどういう属性なのかアカウントを見ればわかるだろう。また、電車でTwitterでアカウントを切り替え別垢のタイムラインを見始める人もしばしばいる。アカウント切り替え場面には名前・ID・アイコン画像が表示されるので、Twitter上の一あなた個人を一瞬で特定可能になる。そういった情報が全て含まれていることに普段から気を配って生活しているだろうか。

 

 例えば、電車内でLINEグループ一覧を見ている人がいたとする。一覧には、「〜大学〜サークル」 「お昼メンツ」「〜君の誕生日」や個人名がずらっと表示される。個人名さえわかれば、今の若者は基本的にFacebookを使っているため、Facebookで検索すれば大体特定可能だ。先に入手した〜大学等の補足情報があればより核心に近づける。

 

これらは「ソーシャルエンジニアリング」と呼ばれている。「ソーシャルエンジニアリング」とは、一般的には以下のように説明されている。

 

ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のこと。ソーシャル・ワークとも呼称される。

ソーシャル・エンジニアリング - Wikipedia

 

秘密情報とまではいかないが、Twitter上のアカウントやFacebookアカウントは、赤の他人にとっては、その人を知る上での重要な個人情報であり、それこそ、TwitterのアカウントなどはPrivateで利用されている場合が多いため、秘密情報にも十分なり得るだろう。

 

最近僕が行ったソーシャルエンジニアリングの例を一つ紹介しよう。

 

同じフロアにとても綺麗な女性が異動してきた。しかしながら彼女は異動してきたばかりで、会社のフロアの座席表システム(個人名が表示される)に彼女の情報が反映されておらず、いつ入社し、仕事は何を担当しているか、等情報が最初は一切わからなかった。

 

ある時、たまたま彼女と同じタイミングでエレベータに乗った時があった。彼女は自身のLINEを開いて連絡をしていた。彼女はLINEの名前を自身の名前を登録していたので、まず彼女の本名を知ることができた。この情報は時間が経てば座席表システムを見ればいつでも見ることができるようになるため、この場合は殊更重要な情報ではない。

 

次に彼女の名前をGoogleで検索する。すると彼女はどうやら学生時代に読者モデルをやっていたという形跡がみつかる。美容サロンのブログの記事に彼女が載っていたり、読モ時代のブログを見つけることができた。どうやら僕より年齢は一つ上との情報もそこで取得する。

 

また読モ時代のTwitterアカウントを見つけることができた。今は利用していないようだがフォロワーは数千人いたようだ。人は往々にして、趣味用のアカウントで無い場合、新しいアカウントを作った時最初にフォローし始めるのはリアルの世界でつながりがある人だ。彼女の読モアカウントが最初らへんにフォローしたアカウントをいくつか見ていくと、彼女のリア友と判断できるアカウントがいくつか見つかった。そして彼らのフォローを追っていくと、どうやら彼女のプライベート用アカウントらしきものも見つかる。そのプライベートアカウントは鍵がついており見れないが、次にやるべきことは「@プライベートアカウント」で検索する。そうすると、彼女のプライベートアカウントに対してリプを送っている人を見つけることができる。そうすると、プライベートアカウントでやり取りをしている彼女の友人たちを見つけることができ、その友人たちのつぶやきから、彼女がどういうクラスタにいて、リプの内容から、普段どういうことをつぶやいているのかすら判断出来てしまう。こうやって彼女のプライベートの情報にどんどん近づくことができる。僕はそれらの情報から、彼女は彼氏と恵比寿でよくデートしているという情報を掴むことができた。

 

このように、僕達が気を配らず普段生活をしてソーシャルメディアを利用しているだけで、大量の個人情報をインターネット上にばらまいていることがわかる。僕はTwitterアカウントで顔出しをしているので、ほぼ個人情報垂れ流し状態だ。この程度の個人情報であれば、インターネットに流出しても被害が出るのは自身のみで、正直、個人の責任なので大した問題ではない。「お前のセキュリティ意識が足りなかっただけ」 なのだ。しかしながら、この情報が個人情報にとどまらず、例えば、業務の機密情報だとか、国家の安全保障を揺るがすような情報を、第三者が意図的にハックしていたとしたら、どのようなリスクが顕在化するだろう?

 

BYODという言葉をご存知だろうか。簡単に説明すると、個人の情報端末を仕事場で利用するという意味で「Bring Your Own Device」の頭文字をとっている。日本語では、私的デバイスの活用、私有IT機器の業務利用、自分の所有するデバイスを持ち込むなど、安定した訳語がなく、元の英文の頭文字の略語であるBYODで表記される場合が多い。昨今のそこらのウェブ系の企業はセキュリティがゆるゆるなので、自身の個人端末に会社の機密情報を保存している人など多数みかける。

 

この言葉を「Bring Your Own Disaster」と皮肉る人も多い。個人の情報端末を業務利用することにより、セキュリティが甘くなり機密情報が漏洩する例が多々あるからだ。

 

例えば、本来ならば会社の端末でしかアクセスできない情報を個人端末からリモートでアクセス可能にすることにより、その通信が傍受された場合に会社の情報があっという間にインターネット上に流出してしまう。例えば、個人PCで利用していたUSBを業務端末に差し込んだ結果、USBに潜んでいたウイルスが業務内ネットワークに拡散されてデータベースを改ざんしたり、バックドアを仕掛けたりしたという例はこれまでにもたくさん存在する。

 

セキュリティに対する意識が薄い結果、機密情報が漏れてしまい会社に損害を与えるような事件はこれまで幾度と無くあった。

 

この手法は、施設の制御システムを攻撃する時にも利用された例がある。これは、国家の安全保障のレイヤーの話だ。そう、イランの核施設に対するサイバー攻撃である。

 

イランのマフムード・アフマディーネジャード元大統領は、核兵器開発が疑われるこの施設を平和利用と称しナタンズという地域に置き、メディアへ公開するなど米国やイスラエルに挑発的な態度を示していた。

 

しかしある日からその施設にある、核開発には必ず必要な遠心分離器に不具合が起き始める。計測器は正しい回転数の数値を示しているにもかかわらず、1000台程が異常な回転をしており、正常な動作をしていなかった。不審に思った施設の技術者が、その施設で利用しているPCを家に持ち帰りインターネットに接続し調べると、とあるウイルスに感染していることが判明した。「スタックスネット(Stuxnet)」と名付けられたこのウイルスは、イランのその核施設の遠心分離器で利用されているドイツのシーメンス社製の制御システムを自動的に探し、その特定のシステムだけに動作し異常な制御を行わせる特殊なプログラムであった。

 

このウイルスは人手、この場合はUSBメモリを介して施設のシステムに侵入したと言われており、そのプログラムが精巧なことから、アメリカとイスラエルが国家レベルで行ったサイバー領域における共同作戦だったと言われている。オバマ大統領はこれを認めていないが、政府関係者からのリーク情報が多数あったので、ほぼ間違いないとされている。そのリークをした一人は米統合参謀本部のジェームズ・カートライト前副議長(元海兵隊隊長)だとされている。

 

このように、人のちょっとしたセキュリティに対する意識が低いことが、個人情報の流出どころか、国家の安全保障を脅かすレベルの話にすら発展してしまうのだ。知らず知らずのうちにあなたが発信している情報や、あなた自身に関する個人情報は、誰かにとってはとても重要な機密情報になり得る。その情報を元に、あなたのことが大好きなストーカーがあなたの家を特定しているかもしれない。あなたが何気なく個人のPCで利用したUSBを会社の端末につなげていることが、会社のセキュリティを脅かしている可能性も大いに有り得る。

 

インターネットを利用していたり、情報端末を利用している限り、常のそのリスクはあなたの隣に潜んでいる。僕達は、もう少しそれらのリスクを意識し、セキュリティ意識を高めるべきではないだろうか。ベッキーの件の文脈で言うなら、iPhoneのバックアップとるPCは絶対に他人が触ることができないようにするとか、ちょっとした些細な意識付けからはじめるしかないのだ。

 

あなたの大切な情報が漏れてしまってからでは遅い、あなたが何らかの被害にあってからでは遅い。常に存在する情報流出のリスクを意識して、つまり、サイバーセキュリティ意識を自身に浸透させ、僕達はインターネットや情報端末を使うべきだ。情報化社会がより発展していく上で、その重要性は今後更に上がってくだろう。

 

サイバーセキュリティと国際政治

サイバーセキュリティと国際政治